IBM en Red Hat lanceren Lightwell om de beveiligingskloof in open source te dichten

IBM en Red Hat hebben commercieel gelanceerd Lightwell, een platform ontworpen om grote organisaties te ondersteunen bij het identificeren en corrigeren van kwetsbaarheden in open source afhankelijkheden zonder dat ze gedwongen worden om ingrijpende updates door te voeren. Dit initiatief komt op een kritiek moment: open source software ondersteunt een groot deel van zakelijke applicaties, maar de snelheid waarmee kwetsbaarheden, verouderde afhankelijkheden en door AI aangedreven aanvallen ontstaan, ondermijnt veel traditionele patchprocessen.

De lancering bestaat uit twee aanbiedingen. Lightwell Network is al beschikbaar en geeft toegang tot een initiële catalogus van meer dan 6.500 gepatchte, digitaal ondertekende en gecertificeerde afhankelijkheden, met ondersteuning voor ecosystemen zoals Java en Python. Lightwell Clearinghouse Premier bevindt zich in een fase met beperkte beschikbaarheid en is bedoeld als een betrouwbare intermediair voor het coördineren van kwetsbaarheden, patch-embargo’s en sectorale remediaties, te beginnen met de financiële dienstverlening.

Dit initiatief bouwt voort op eerdere beloftes. In mei 2026 kondigden IBM en Red Hat een investering aan van 5 miljard dollar om de veiligheid van open source te versterken in het tijdperk van AI, ondersteund door meer dan 20.000 ingenieurs en geavanceerde AI-capaciteiten voor grootschalige identificatie, validatie en correctie van kwetsbaarheden.

Het probleem: Updaten is niet altijd mogelijk

In theorie is de aanbevolen reactie op een kwetsbaarheid simpel: upgraden naar een gerepareerde versie. In de praktijk is dat vaak lastiger. Veel organisaties hebben kritieke applicaties met oude afhankelijkheden, gecertificeerde versies, kwetsbare integraties, beperkte planningsmomenten voor wijzigingen, lange regressietests en verplichtingen jegens klanten of toezichthouders.

Het gevolg is bekend bij ieder beveiligingsteam of beheerplatform: de kwetsbaarheid wordt ontdekt, verschijnt in de SBOM of in scanschema’s, maar het corrigeren ervan betekent vaak het upgraden van meerdere versies, API-aanpassingen, compatibiliteitsproblemen of hervalidatie van de hele applicatie. Hoewel de patch bestaat, kan de organisatie deze niet altijd operationeel toepassen zonder risico’s.

Lightwell probeert precies dat blokkadepunt te doorbreken. IBM en Red Hat verzekeren dat hun platform een deel van het remedieproces automatiseert en backports van essentiële correcties direct toepast op de reeds in productie gebruikte softwareversies. Dat wil zeggen, in plaats van altijd een grote upgrade te forceren, richt het platform zich op het implementeren van fixes in de bestaande geïnstalleerde versies, met ondertekende binaries, broncode en nalevingsartefacten.

Dat aanpak is vertrouwd voor Red Hat. Al jaren houdt hun bedrijfsmodel in dat stabiele versies lange tijd ondersteund worden, met beveiligingspatches zonder dat klanten telkens upstream veranderingen hoeven te volgen. Wat nieuw is aan Lightwell, is dat IBM en Red Hat deze discipline willen uitbreiden van hun traditionele producten naar de applicatieafhankelijkheden die organisaties in hun eigen ontwikkelprocessen gebruiken.

Twee niveaus: remedie-netwerk en compensatiekamer

Lightwell Network is de meest directe lancering. Het werkt op basis van een jaarlijkse abonnement en geeft toegang tot Red Hat repositories met gepatchte en gecertificeerde afhankelijkheden voor open source kwetsbaarheden. Klanten kunnen deze artefacten integreren in hun bouw- en uitrolprocessen zonder hun volledige pipeline te herontwerpen.

Lightwell Clearinghouse Premier is ambitieuze en gevoelige: het is bedoeld voor geselecteerde organisaties met kritieke infrastructuur, met beperkte beschikbaarheid. Het voegt functies toe zoals kwetsbaarheidsrapportage, remediatie voor specifieke versies, verificatie van nieuwe kwetsbaarheden, divulgatiebeheer, anonieme aanvragen van lidorganisaties en services zoals een Technical Account Manager.

AanbiedingStatusWat wordt geboden
Lightwell NetworkBeschikbaarGepatchte en gecertificeerde afhankelijkheden
Lightwell Clearinghouse PremierBeperkte beschikbaarheidSectorale coördinatie, embargo’s, specifieke versies en gespecialiseerde ondersteuning
Gerelateerde dienstenPartner-ecosysteemSBOM-mapping, integratie in pipelines, consulting en implementatie

De metafoor van “clearinghouse” is geen toeval. IBM en Red Hat willen fungeren als een betrouwbare tussenpersoon tussen bedrijven, open source gemeenschappen, technologische leveranciers en gereguleerde sectoren. In bankwezen of kritieke infrastructuur kunnen kwetsbaarheden niet altijd direct openbaar worden gemaakt zonder dat dit kwaadwillende actoren helpt. Er is coördinatie nodig, validatie, zorgvuldige communicatie en patching. Lightwell streeft ernaar om dit proces te industrialiseren en te standaardiseren.

AI versnelt ook de verdediging

IBM en Red Hat stellen dat AI de schaal en snelheid van het probleem heeft vergroot. Geavanceerde modellen kunnen helpen bij het ontdekken van kwetsbaarheden, het analyseren van code, het genereren van exploits of het versnellen van aanvallen. Tegelijkertijd kunnen dezelfde AI-technologieën worden ingezet om afhankelijkheden door te lichten, prioriteiten te stellen, patches voor te stellen, wijzigingen te valideren en responsetijden te verkorten.

In mei gaf IBM aan dat de nieuwste AI-ontwikkelingen het detecteren en uitbuiten van kwetsbaarheden versnellen. Zo meldde Anthropic dat hun Mythos Preview-model bijna 3.900 open source kwetsbaarheden met hoge of kritieke ernst had geïdentificeerd.

Lightwell combineert AI-modellen, automatisering en menselijke review. IBM en Red Hat presenteren het als een schaalbare, operationele remediation-engine die frontier- en open source-modellen combineert met ervaren engineering om kwetsbaarheden in diepgewortelde afhankelijkheden van moderne architecturen te identificeren, valideren en corrigeren.

Het is belangrijk te benadrukken dat AI het proces van review en patching sterk kan versnellen, maar dat in productie een gegenereerde fix niet zomaar acceptabel is. Er moet worden getest, ondertekend, gedocumenteerd, compatibiliteit gecontroleerd, SBOM’s gegenereerd en communicatie gecoördineerd worden. De waarde van Lightwell, zoals IBM en Red Hat beweren, ligt meer in het beheersbaar maken van het remedieproces dan in het automatisch schrijven van perfect werkende patches.

Open source, compliance en operationele soevereiniteit

De beveiliging van open source software is niet langer een nichezaak. Java, Python, JavaScript, Kubernetes, Kafka, Terraform, Ansible, Cassandra, Flink en duizenden andere librarysten grote toepassingen in bankwezen, gezondheidszorg, industrie, telecom en overheid. IBM gebruikt meer dan 62.000 open source packages en heeft diepgaande ervaring met meer dan 10.000 ervan, wat helpt verklaren waarom het de intentie heeft deze capaciteit te commercialiseren.

Voor gereguleerde bedrijven gaat het niet alleen om techniek. Het betreft ook compliance, auditing en continuïteit. Een CISO kan weten dat er een kritieke kwetsbaarheid bestaat, maar weken nodig hebben om teams te coördineren voor patching, beveiliging, legal en management. Terwijl dat gebeurt, blijft de organisatie blootstaan aan risico.

Daarom spreekt Lightwell over SBOM’s, compliance-artefacten, ondertekende binaries, beveiligde repositories en partnercoördinatie. Het is geen simpele patch, maar een pakket dat organisaties zonder veel frictie kunnen integreren in hun supply chain.

Ook speelt het in op het thema operationele soevereiniteit. Atos bijvoorbeeld koppelt de controle over de software supply chain aan digitale soevereiniteit, en IBM en Red Hat benadrukken dat organisaties niet werkelijk controle hebben over hun infrastructuur zonder inzicht in de open source componenten die ze gebruiken, de daarbij horende kwetsbaarheden en de wijze van correctie, onafhankelijk van externe kalenders.

Een breed ecosysteem, maar ook een nieuwe afhankelijkheid

IBM en Red Hat hebben Lightwell omringd met een groot ecosysteem: AWS, AMD, F5, GitLab, Intel, JFrog, Microsoft, NVIDIA, Palo Alto Networks, ServiceNow en grote adviesbureaus zoals Accenture, Deloitte, EY, HCLTech, Infosys, Kyndryl, NTT DATA, TCS en Tech Mahindra werken als partners of implementatiespecialisten.

Dat bereik kan een voordeel zijn. Vulnerability remediation gebeurt niet uitsluitend in code repositories. Het raakt netwerkregels, cloudomgevingen, pipelines, images, artefacten, scanners, CMDB, SIEM en wijzigingsprocessen. Een goed geïntegreerd ecosysteem kan post-kwetsbaarheidscorrecties soepel laten doorstromen van afhankelijkheid tot productieomgeving.

Aan de andere kant stelt het zulke afhankelijkheden ook bloot. Als Lightwell een kritische laag van vertrouwen wordt in open source management, zullen organisaties deels afhankelijk worden van IBM en Red Hat voor gevalideerde remediaties. Dit verschilt van het gebruik van community-pakketten zonder support, maar blijft een vorm van afhankelijkheid. Organisaties moeten de reikwijdte, dekking, kosten, responstijden, integratie en transparantie grondig evalueren.

Het upstream-model van Red Hat, dat continu patches terugstort in de open source gemeenschappen, probeert dit risico te mitigeren. IBM en Red Hat geven aan dat ingediende patches worden teruggevoerd en in de open source projecten worden ingebouwd, om fragmentatie te voorkomen en zowel de bescherming als de gezondheid van de gemeenschap te waarborgen.

Waarom dit moment ertoe doet

Lightwell speelt in op een concrete behoefte: organisaties hebben niet de middelen om alle open source afhankelijkheden handmatig te controleren en te corrigeren. Scansystemen verbeteren snel, SBOM’s worden gemeengoed en repositories bieden meer signals, maar identificeren is niet hetzelfde als oplossen. Veel bedrijven hebben enorme lijsten met CVE’s en te weinig personeel om veilige updates door te voeren.

IBM en Red Hat willen een brug slaan tussen het signaleren en het corrigeren. Wanneer dat lukt, kan Lightwell een belangrijke rol gaan spelen in sectoren zoals bankwezen, gezondheidszorg, overheid en telecom, waar het stilleggen van systemen of grote updates dure voorstellen zijn.

Softwareveiligheid in open source zal niet met één enkele oplossing worden opgelost. Het vereist onderhouden community’s, financiering, code-reviews, goede ontwikkelpraktijken, dependencybeheer, betrouwbare SBOM’s, digitale handtekeningen en nalevingsprocessen. Lightwell richt zich niet op alles, maar op het industrieel maken van een deel van de patchwork-aanpak: het repareren van systemen die al in gebruik zijn, zonder ze te breken.

In het AI-tijdperk zal kwetsbare code sneller worden gevonden. Het gaat erom wie het snelst kan corrigeren, valideren en implementeren, zonder de bedrijfsvoering stil te leggen.

Veelgestelde vragen

Wat is Lightwell?
Een aanbod van IBM en Red Hat dat organisaties ondersteunt bij het identificeren, valideren en remediëren van kwetsbaarheden in open source afhankelijkheden in productieomgevingen.

Wat is het verschil tussen Lightwell Network en Clearinghouse Premier?
Lightwell Network biedt toegang tot ondertekende en gecertificeerde remediaties. Clearinghouse Premier voegt coördinatie van kwetsbaarheden, embargo’s en remediatie voor specifieke versies toe, voor geselecteerde organisaties.

Vervangt Lightwell scansystemen?
Nee. Scansystemen detecteren problemen; Lightwell levert gevalideerde en integrabele oplossingen binnen bestaande pipelines.

Waarom is backporting belangrijk?
Omdat het toelaat om security fixes te brengen naar een versie die al in gebruik is, zonder altijd een grote upgrade te moeten doen die compatibiliteitsproblemen kan veroorzaken.

Is het beschikbaar voor alle organisaties?
Lightwell Network is al beschikbaar via abonnementen. Clearinghouse Premier is in beperkte beschikbaarheid, gericht op kritieke infrastructuur en financiële diensten.

via: newsroom.ibm

Scroll naar boven